05
פבר
12

חוזק סיסמא

רבות כבר דובר על החשיבות של הסיסמא במערכת ועל היותה היעד הראשון לתקיפה. רבים מסתכנים ומסתבכים בבחירת סיסמאות קלות לניחוש ופיצוח. נשאלתי בארגון לא מעט פעמים כיצד לבחור סיסמא טובה ונשאלתי גם מה הארגון עושה כדי להגן על המשתמשים.

ארבעת הפרמטרים הכי חשובים, לדעתי, בכל הקשור בסיסמאות הם:

  1. שמירה על הסיסמא במקום לא נגיש – הכי מומלץ לזכור אותה ולא לרשום אותה על נייר או בקובץ. זוהי המלצה נהלית ולא טכנית.
  2. בחירת סיסמא שאינה קלה לניחוש – סיסמא שתכיל ספרות ותווים גדולים וקטנים.
  3. אורך סיסמא – ככל שהסיסמא ארוכה יותר, יקח זמן רב יותר באופן משמעותי לנחש אותה.
  4. מניעת התקפות Brute Force.

כדי לבחור סיסמא שאינה קלה לניחוש אבל קל לזכור אותה, מומלץ לחבר שתי מילים קצרות (אפשר שני שמות) ולרפד את הסיסמא בתוכן קבוע. הריפוד (Padding) מאפשר להאריך את הסיסמא ולשנות אותה כך שתאפשר שינוי סיסמא כל פרק זמן הנדרש ממדיניות הסיסמאות.
למשל, לחבר שמות של ילדים/הורים/אחים: טלי, גיל (Tali, Gil) ולרפד בהתחלה עם ספרות:21. הסיסמא תהיה: 21TalGil. בהחלפת הסיסמא הבאה, הסיסמא תהיה: 22TaliGil ולאחר מכן 23TaliGil. כך, השגנו סיסמא מאוד חזקה – תשעה תווים – אך מאוד קשה לניחוש או פיצוח של כלי פריצה.

באתר הבא תמצאו פירוט מדוע אורך הסיסמא (מספר תווים) הינו הפרמטר הכי חשוב בחוזק הסיסמא. פחות חשוב לחייב סימנים מיוחדים בסיסמא (@!#$…). עפ"י המחשבון באתר, ייקח הרבה יותר זמן לפצח סיסמא בת תשעה תווים ללא סימנים מיוחדים, מאשר סיסמא בת שמונה תווים עם סימנים מיוחדים.

וכמובן, חשוב שהאתר או המערכת ימנעו את האפשרות לבצע התקפה שבה ניתן לנחש, ללא הגבלה, סיסמאות של משתמשים (התקפת Brute Force). ניתן להשיג זאת באחד האופנים הבאים: שימוש ב – CAPTCHA לאחר שני כשלונות בסיסמא, או חסימת חשבון המשתמש לאחר מספר כשלונות (למשל 5).

מודעות פרסומת

8 Responses to “חוזק סיסמא”


  1. 1 Sro
    05/02/2012 ב- 14:29

    "חסימת חשבון המשתמש לאחר מספר כשלונות (למשל 5)."
    ההמלצה המומלצת היא CAPTCHA, בהמלצה זו (של חסימה) יש להשתמש בחכמה, כדי למנוע Account Lockout Attack (תוקף מנסה להתחבר לכל החשבונות 5 פעמים באמצעות סקריפט אוטומטי, וכך חוסם את כולם). לעיתים ניתן לחסום לפי IP (זה גם לא הכי, במקרה ויש רשת פנימית / פרוקסי משותף וכד').

    • 05/02/2012 ב- 23:22

      מסכים. עדיף לעשות שימוש ב – CAPTCHA. עם זאת, חשוב להבין שאתה מתייחס רק לאתרי Web. בתוך הארגון, ישנן מערכות רבות שאינן Web. בנוסף, בתוך הארגון לא רואה צורך ל – CAPTCHA גם במערכות Web.
      לגבי Account Lockput, למעשה סוג של DoS, גם חשוב להתייחס, כפי שציינת. במקומות שלא ניתן לעשות שימוש ב – CAPTCHA, רצוי לנעול חשבון לפרק זמן מוגבל (למשל חצי שעה) ולא באופן קבוע. העניין הוא שאין הרבה מערכות שניתן ליישם זאת בקלות.

  2. 3 Sro
    05/02/2012 ב- 16:02

    אגב, גם ה-pad שהצעת לא מאובטח.
    הרעיון של שינוי סיסמה, שגם אם מישהו השיג את הסיסמה (או ישיג, אם זה נשמר באיזה לוגים) לאחר תקופה זה יהיה לא שימושי.
    אם יש pad, הדבר הראשון שינסו, זה לעדכן אותו בשביל למצוא את הסיסמה העדכנית.
    כך שעדיף שיהיה pad טיפה קשה לניחוש.

    לגבי שמות ילדים / הורים, יש כלים (ואפשר גם לבנות לבד, לא בעיה) שמכניסים להם את כל המילים שקשורות לבנאדם (נערצים כמו זמרים / ספורטאים וכד') והם יוצרים מילון (רשימת מילים) שמבוססות על צירופים שונים, כך שעדיף שהמילים לא יהיו ממש קלות.

    יחד עם "לא לשמור את הסיסמה" צריך לצרף "סיסמה קריטית (כמו סיסמה למייל, חשבון בנק), אין להשתמש איתה ביותר ממקום אחד"

    כמו כל הפוסטים, אחלה פוסט.

    • 05/02/2012 ב- 23:27

      אם מישהו השיג סיסמא, אין משמעות לחוזק הסיסמא.
      בהנחה שלא גנבו את הסיסמא, ה – Pad הזה מספיק טוב. כמובן שניתן לעשות שימוש ב – Pad אחרים, אך זה עלול להוביל לכך שלא יזכרו את מבנה הסיסמא.
      במקום שמות אנשים, תבחר שמות ירקות. הרעיון שהוא שחיבור של שתי מילים ו – Pad, ביחד עם הגבלת מספר כשלונות, יאפשר לזכור את הסיסמא הארוכה מצד אחד, תוך יצירת סיסמא חזקה ומצד שני.

      תודה על ההשתתפות.

  3. 5 עומר
    07/02/2012 ב- 23:25

    דיונים באבטחת מידע נוטים להתעלם מההקשר, כאילו שאבטחה זה איזו טכנולוגיה שלא משנה היכן תשים אותה תממש את ייעודה. לדבר על סיסמאות בלי הקשר זה לטעמי דיון עקר. המרכיב המרכזי במדיניות סיסמאות זה בכלל לא חוזק הסיסמא. לכרטיסי אשראי סיסמא של ארבע תוים בלבד ואף אחד לא חושב שחוזק הסיסמא חלש. הסיסמא מתחלפת אחת למספר שנים והסיכוי לניחוש אקראי הוא בערך אחד לאלפיים חמש מאות (חלק יבלעו אחרי 3 נסיונות וחלק אחרי 5 ואני חלש בסטטיסטיקה,אז נתפשר על 4 נסיונות מתוך 10,000 צירופים אפשריים) ולמרות זאת עוד לא קמה תנועת המחאה למען סיסמאות מורכבות המתחלפות כל שלושה חודשים במנגנון ששולט בחשבון הבנק של כולנו.

    באתרי Web קיים סיכון לתקיפה שיטתית ולכן האיום הוא מסוג אחד. בתוך רשת ארגונית האיומים שונים לחלוטין, בטח אם יש נעילה אחרי חמישה נסיונות (גם אם אין הסטוריה או מורכבות) ואם יש מערך SIM שמנטר כניסות המצב בכלל שונה. אם נסתכל על ניתוחי הסיסמאות מכל הפריצות בשנים האחרונות נגלה שסיסמאות קלות מאוד הן אחוז קטן ביותר מסך הסיסמאות. זה שהסיסמא השכיחה ביותר היא 123456 או password עדיין לא עושה אותן נפוצות, אלא פשוט באופן יחסי יותר נפוצות (אם בבסיס נתונים של מליון משתמשים יש רק שני משתמשים עם אותה הסיסמא, אז היא הסיסמא הנפוצה ביותר). יש ניתוח של אימפרווה על הסיסמאות של RockYou (אבל זה חוזר על עצמו כל פעם) ובפועל חמישית מהסיסמאות מורכבות מבסיס נתונים של 5000 סיסמאות. זה אמנם חלש מאוד קריפטוגרפית, אבל אם יש לך רק חמישה נסיונות מצבך לא טוב והסיכוי לניחוש נמוך. הטיעונים בעד החלפת סיסמאות תקופתית חלשים ולא בטוח בכלל מדוע הם נחוצים (כי העובד לידי יידע את הסיסמא? הוא יידע אותה בכל מקרה אם אתן לו או לחילופין אם ארשום אותה על פתק עקב החלפה תכופה).

    בקיצור, אולי יקום מישהו, יאזור עוז ויפסיק לעצבן את המשתמשים? כמה תקיפות קורות בגלל ניחוש סיסמא אקראי (בתוך ארגונים)? צריך להבדיל בין ניצול לרעה של סיסמאות כי מישהו נתן לבן האדם הלא נכון את הסיסמא לניחושי Brute Force. נראה לי שבנושא הסיסמאות אנחנו חושבים מההרגל ולא מהעובדות.

  4. 6 Dem
    10/02/2012 ב- 15:45

    א. כמה שתסבך את המשתמש בבחירת סיסמא מורכבת + החלפה תקופתית ככה יגברו הסיכונים שהסיסמא תישמר ב- clear text איפה שהוא על המחשב.
    ב. לכן תמיד צריכים לאזן בין אבטחה לנוחות משתמש ע"י פתרונות טריקים. למשל לצייר צורה (שמספר האפשרויות לצייר שווה לסיסמא מאוד מורכבת) .
    ג. במידת האפשר להסתמך על מה שיש למשתמש ולא בהכרח שהוא צריך לזכור אותו, למשל האצבע של המשתמש.

    מניסיון רב שצברתי כל מדיניות קשוחה יותר לבחירת סיסמאות חזקה החלישה את חוזק הסיסמאות בארגון :ממספר רץ של מספרים לאות קטנה וגדולה ורצץ מספרים, אחרי זה לאות גדולה שונה מהאות הקטנה ושינוי הסדר וכ"ו.

    כמובן שמודעות משפרת את הסיסמאות בקרב חלק מהעובדים, אבל חלק גדול מאוד (וגם כאלה בעלי הרשאות יותר חזקות) אף פעם לא יעניין אותו סיסמא מורכבת והוא יחפש את הדרכים המהירות.

    לכן תמיד חשוב ליצור פתרונות יצירתיים שמחזקים את ההגנה ומצד שני משפרים את החווית משתמש.

  5. 25/02/2012 ב- 23:28

    אני אוהב להוסיף את ממד השפה. כלומר לצרף מילים, או להשתמש במושג בעברית, ואז לכתוב אותו במקלדת באנגלית… זה יוצא גי'בריש באנגלית ומוסיף מימד של קושי לפריצה של הסיסמה. כל מי שדובר שפה אחת או יותר יכול להשתמש במנגנון הזה.
    למשל, בוקרטוב יוצא cueryuc, ולזה כמובן ניתן להוסיף מספרים, סימנים מיוחדים, אותיות גדולות ועוד.

    לגבי שימוש בסיסמה אחת באינטרנט, שאם היא נפרצת אז כל החשבונות שלך ברשת פתוחים – הפתרון הוא להשתמש בתוכנה למילוי טפסים/סיסמאות ובכל אתר לתת סיסמה אחרת, וכמובן שהסיסמה של המייל שלך – אסור לעשות בה שימוש בשום מקום אחר, כי המייל הוא לב המנגנון לאיפוסי סיסמאות.
    אני משתמש ב-Roboform מעל שנתיים ומאוד מרוצה (זה הקישור שלי אצלם, http://www.roboform.com/?affid=eitan).

  6. 8 אור
    23/10/2012 ב- 17:33

    מה מתאים


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


פברואר 2012
א ב ג ד ה ו ש
« ינו   מרץ »
 1234
567891011
12131415161718
19202122232425
26272829  
מודעות פרסומת

%d בלוגרים אהבו את זה: